Address
304 North Cardinal St.
Dorchester Center, MA 02124
Work Hours
Monday to Friday: 7AM - 7PM
Weekend: 10AM - 5PM
Cuando un “anuncio” se convierte en un problema RGPD
Los mercados en línea (plataformas donde usuarios publican anuncios) llevan años apoyándose en un enfoque de retirada “tras aviso”. Pero el TJUE marca un giro relevante cuando el contenido incluye categorías especiales de datos (datos sensibles), como ocurrió en el caso Russmedia.
El litigio nace en Rumanía: se publicó un anuncio falso que presentaba a una persona ofreciendo servicios sexuales, incluyendo fotografías reales y su número de teléfono, sin consentimiento. Aunque el operador retiró el anuncio tras la solicitud, el contenido ya se había replicado en otros sitios web, ampliando el daño.
En primera instancia se condenó al operador a 7.000 € por daño moral, entre otros motivos, por tratamiento ilícito de datos personales. En apelación, sin embargo, se consideró que actuaba como mero “alojador” y se le aplicó la exención de responsabilidad típica del comercio electrónico, al no tener conocimiento efectivo hasta que fue notificado.
La clave: el tribunal nacional elevó la cuestión al TJUE para aclarar (i) si el operador es responsable del tratamiento RGPD, (ii) si debe verificar antes de publicar cuando hay datos sensibles y (iii) si puede “escudarse” en las exenciones de la Directiva de comercio electrónico frente a obligaciones RGPD.
1. El operador del marketplace puede ser “responsable del tratamiento”
El TJUE concluye que el operador no puede apartarse de la responsabilidad alegando que no fijó el contenido del anuncio: excluirle por esa sola circunstancia vaciaría la protección efectiva de los interesados. En suma, el operador es responsable del tratamiento de los datos personales contenidos en anuncios publicados en su mercado en línea.
Implicación práctica: no basta con “soy intermediario”. Si publicas y haces accesible el contenido, asumes obligaciones RGPD.
2. “Diligencia reforzada” cuando hay datos sensibles: medidas ex ante
Cuando en los anuncios aparecen datos sensibles (art. 9 RGPD), el TJUE subraya el alto riesgo para los derechos fundamentales y exige una obligación de diligencia reforzada, conectada con protección de datos desde el diseño y por defecto (art. 25 RGPD).
El estándar deja claro que la obligación no solo aplica durante el tratamiento, sino antes, desde el diseño del servicio: el operador debe implementar medidas técnicas y organizativas para identificar anuncios con datos sensibles antes de su publicación y verificar que se publican conforme a los principios del RGPD.
3. Verificación de identidad y prueba de consentimiento explícito
El TJUE concreta ese deber en tres obligaciones prácticas:
(i) Identificar anuncios con datos sensibles.
(ii) Verificar identidad: comprobar si quien publica es la misma persona cuyos datos sensibles aparecen; si es un tercero, debe exigir prueba de consentimiento explícito. Además, para poder cumplirlo, debe recabar la identidad del anunciante usuario antes de publicar.
(iii) Denegar publicación: si no se acredita identidad o consentimiento (u otra base habilitante), el operador debe rechazar la publicación del anuncio, aplicando medidas técnicas y organizativas apropiadas.
4. Seguridad: evitar la redistribución ilícita (scraping y republicación)
El análisis también destaca el impacto del art. 32 RGPD: el operador debe aplicar medidas para impedir que anuncios con datos sensibles sean copiados y republicados en otros sitios web, utilizando “todas las medidas técnicas disponibles” según el estado de la técnica, precisamente por el riesgo de pérdida de control y por el vínculo con el derecho de supresión.
5. No vale el “puerto seguro” para escapar del RGPD
Uno de los mensajes más relevantes: el operador no puede invocar las exenciones de responsabilidad para intermediarios (artículos 12 a 15 de la Directiva de comercio electrónico) para eludir obligaciones del RGPD. El TJUE fundamenta esta conclusión, entre otros, en que la Directiva excluye expresamente las cuestiones relativas al tratamiento de datos personales, y recalca el carácter autónomo y prevalente del régimen RGPD en este ámbito.
Checklist práctico para operadores de plataformas (en claro)
Si gestionas un portal de anuncios, marketplace o servicio donde terceros publican contenido, este criterio del TJUE empuja a implantar, como mínimo:
- Detección previa de contenido con categorías especiales de datos.
- KYC/identificación del anunciante cuando el anuncio incluye datos sensibles.
- Evidencia verificable de consentimiento explícito si el anunciante es un tercero.
- Bloqueo/denegación si no hay base habilitante clara.
- Medidas anti-copia/scraping y control de redistribución de contenidos sensibles.
- Trazabilidad interna (qué se detectó, qué se verificó, quién autorizó, cuándo y con qué evidencias).
Conclusión
La sentencia Russmedia (C-492/2023) eleva el estándar: cuando hablamos de datos sensibles, ya no es defendible una operativa “publica y retira si te lo piden”. El foco se desplaza a prevención, verificación y control desde el diseño, reforzando la responsabilidad proactiva del RGPD.
Disfruta de más contenido sobre tecnología aplicada al Sector Legal
Este blog solo recoge una muestra resumida del contenido que puedes encontrar en este número de la Revista Digital «ELEX INSIGHT«. Para acceder a todos los números de forma gratuita, visita el siguiente enlace:
Revista Digital Febrero 2026
🡡 Haz clic para leer 🡡
Si deseas descubrir cómo la inteligencia artificial de ELEX puede transformar tu práctica legal, solicita ahora una DEMO a través de este enlace o programa una reunión con nuestros expertos para aclarar cualquier duda que puedas tener al respecto.